VPN-Anbindung mit Sophos-Firewalls

Draht ins Unternehmen

Die Corona-Pandemie ließ viele Firmen praktisch von einem auf den anderen Tag die Mitarbeiter ins Home Office schicken. Unternehmen, die eine Firewall von Sophos einsetzen, sind für diesen Fall zumindest gut gerüstet, denn das Einrichten von Remote-Zugängen oder die transparente Anbindung kleiner Arbeitsgruppen in Zweigstellen ist mit Systemen dieses Herstellers leicht umzusetzen. Wir zeigen, welche Funktionen die Sophos-UTM- beziehungsweise XG-Firewalls hierfür bieten und wie Sie diese einrichten.
Angesichts der zunehmend genutzten verteilten Infrastrukturen verkompliziert sich der reibungslose Betrieb von Applikationen. Im Dezember befasst sich ... (mehr)

Bei der Anbindung von Remote-Arbeitsplätzen per Virtual Private Network ist grundsätzlich zwischen einer Netz-zu-Netz-Kopplung (Site-to-Site) und der Anbindung einzelner Arbeitsplätze (Client-to-Site) zu unterscheiden. Einer Netz-zu-Netz-Kopplung wird der Admin immer dann den Vorzug geben, wenn mehrere Personen beziehungsweise ganze Arbeitsgruppen von einem entfernten Standort (Branch Office) auf Ressourcen des zentralen Unternehmensstandorts zugreifen müssen.

In diesem Fall übernimmt ein VPN-Gateway die Initialisierung der Tunnelverbindung, an den Arbeitsplätzen muss also weder VPN-Software installiert sein noch müssen die Mitarbeiter selbst für den Verbindungsaufbau sorgen. Für die Netz-zu-Netz-Kopplung stellen Sophos-UTM- und Sophos-XG-Firewallsysteme folgende Modi beziehungsweise Protokolle zur Verfügung:

- Sophos RED (Remote Ethernet Device)

- IPSec

- SSL-/OpenVPN Site-to-Site

Während sich IPSec und SSL-/OpenVPN prinzipiell interoperabel zwischen Geräten unterschiedlicher Hersteller nutzen lassen, handelt es sich bei den Remote Ethernet Devices (RED) um eine Sophos-eigene Technik: REDs sind einfache und preiswerte Geräte, die an den Remote-Standort verschickt und mithilfe eines Provisionierungsservice vom Admin an der zentralen Firewall in Betrieb genommen und verwaltet werden.

Am entfernten Standort muss das Gerät lediglich per DHCP eine IP-Adresse aus dem dortigen Netzwerk erhalten und auf das Internet zugreifen können. Mittels der Seriennummer finden sich die Geräte über den Sophos-RED-Dienst und die Site-to-Site-VPN-Verbindung wird vollautomatisch eingerichtet. Nach der erfolgreichen Provisionierung kommunizieren die Geräte nur noch direkt miteinander, die VPN-Verbindung läuft also nicht über Sophos-Server.

Remote-Access-Verbindungen (Client-to-Site) sind ebenfalls über die Protokolle IPSec und SSL-/OpenVPN möglich, als Alternative stehen aber zusätzlich noch die Protokolle Layer 2

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021